Android सुरक्षा बुलेटिन में, Android डिवाइसों को प्रभावित करने वाली सुरक्षा से जुड़ी कमियों के बारे में जानकारी होती है. इन सभी समस्याओं को 6 अक्टूबर, 2023 या उसके बाद के सुरक्षा पैच लेवल में ठीक कर दिया गया है. किसी डिवाइस के सुरक्षा पैच का लेवल देखने का तरीका जानने के लिए, अपने Android वर्शन की जांच करना और उसे अपडेट करना लेख पढ़ें.
Android पार्टनर को सभी समस्याओं के बारे में, पब्लिश करने से कम से कम एक महीने पहले सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) रिपॉज़िटरी में रिलीज़ कर दिए गए हैं. साथ ही, इस बुलेटिन में लिंक कर दिए गए हैं. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
गंभीरता का आकलन इस आधार पर किया जाता है कि सुरक्षा से जुड़ी इस कमज़ोरी का फ़ायदा उठाने से, प्रभावित डिवाइस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के लिए, प्लैटफ़ॉर्म और सेवा से जुड़ी सुरक्षा कम करने वाली सुविधाओं को बंद कर दिया गया है या उन्हें सफलतापूर्वक बायपास कर दिया गया है.
Android और Google Play Protect से जुड़ी सुरक्षा सुविधाओं के बारे में जानने के लिए, Android और Google Play Protect से जुड़ी सुरक्षा सुविधाओं सेक्शन पर जाएं. इससे आपको Android के सुरक्षा प्लैटफ़ॉर्म से जुड़ी सुरक्षा सुविधाओं और Google Play Protect के बारे में जानकारी मिलेगी. ये सुविधाएं, Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाती हैं.
Android और Google सेवा से जुड़ी समस्याओं को कम करने के तरीके
यहां Android के सुरक्षा प्लैटफ़ॉर्म और Google Play Protect जैसी सुरक्षा सेवाओं से जुड़ी कमियों को दूर करने के बारे में खास जानकारी दी गई है. इन क्षमताओं की वजह से, Android पर सुरक्षा जोखिम की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का फ़ायदा उठाना मुश्किल हो गया है. हम सभी उपयोगकर्ताओं को सलाह देते हैं कि वे Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, उपयोगकर्ताओं को नुकसान पहुंचा सकने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Google Play Protect, Google मोबाइल सेवाएं वाले डिवाइसों पर डिफ़ॉल्ट रूप से चालू होता है. यह उन लोगों के लिए खास तौर पर ज़रूरी है जो Google Play के अलावा किसी और प्लैटफ़ॉर्म से ऐप्लिकेशन इंस्टॉल करते हैं.
2023-10-01 सुरक्षा पैच लेवल की कमज़ोरी की जानकारी
यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी कमियों के बारे में जानकारी दी गई है जो 2023-10-01 के पैच लेवल पर लागू होती हैं. कमज़ोरियों को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP की बदलाव सूची. जब कई बदलाव किसी एक गड़बड़ी से जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद वाले नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं. Android 10 और इसके बाद के वर्शन वाले डिवाइसों को सुरक्षा से जुड़े अपडेट के साथ-साथ, Google Play के सिस्टम अपडेट भी मिल सकते हैं.
Framework
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, स्थानीय स्तर पर विशेषाधिकारों में बढ़ोतरी हो सकती है. इसके लिए, अतिरिक्त विशेषाधिकारों की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2023-40116 | A-270368476 [2] | EoP | ज़्यादा | 11, 12, 12L |
| CVE-2023-40120 | A-274775190 | EoP | ज़्यादा | 11, 12, 12L, 13 |
| CVE-2023-40131 | A-282919145 | EoP | ज़्यादा | 12, 12L, 13 |
| CVE-2023-40140 | A-274058082 | EoP | ज़्यादा | 11, 12, 12L, 13 |
| CVE-2023-21291 | A-277593270 | ID | ज़्यादा | 11, 12, 12L, 13 |
| CVE-2023-40121 | A-224771621 | ID | ज़्यादा | 11, 12, 12L, 13 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट (पास/आस-पास) कोड प्रोग्राम चलाए जा सकते हैं. इसके लिए, प्रोग्राम चलाने के अतिरिक्त अधिकारों की ज़रूरत नहीं होती.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2023-40129 | A-273874525 | RCE | सबसे अहम | 12, 12L, 13 |
| CVE-2023-21244 | A-276729064 [2] [3] | EoP | ज़्यादा | 11, 12, 12L, 13 |
| CVE-2023-40117 | A-253043065 [2] | EoP | ज़्यादा | 11, 12, 12L, 13 |
| CVE-2023-40125 | A-279902472 | EoP | ज़्यादा | 11, 12, 12L, 13 |
| CVE-2023-40128 | A-274231102 | EoP | ज़्यादा | 11, 12, 12L, 13 |
| CVE-2023-40123 | A-278246904 | ID | ज़्यादा | 11, 12, 12L, 13 |
| CVE-2023-40127 | A-262244882 | ID | ज़्यादा | 11, 12, 12L, 13 |
| CVE-2023-21252 | A-275339978 [2] | डीओएस | ज़्यादा | 11, 12, 12L, 13 |
| CVE-2023-21253 | A-266580022 [2] [3] | डीओएस | ज़्यादा | 11, 12, 12L, 13 |
Google Play के सिस्टम अपडेट
प्रोजेक्ट मेनलाइन के कॉम्पोनेंट में ये समस्याएं शामिल हैं.
| सबकॉम्पोनेंट | CVE |
|---|---|
| MediaProvider | CVE-2023-40127 |
| वाई-फ़ाई | CVE-2023-21252 |
05-10-2023 सुरक्षा पैच लेवल की कमज़ोरी की जानकारी
यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी कमियों के बारे में जानकारी दी गई है जो 2023-10-05 के पैच लेवल पर लागू होती हैं. कमज़ोरियों को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP की बदलाव सूची. जब कई बदलाव किसी एक गड़बड़ी से जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद वाले नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
ग्रुप के कॉम्पोनेंट
इन कमज़ोरियों का असर Arm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे तौर पर Arm से मिल सकती है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Arm करता है.
| CVE | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2021-44828 | A-296461583 * | ज़्यादा | माली |
| CVE-2022-28348 | A-296463357 * | ज़्यादा | माली |
| CVE-2023-4211 | A-294605494 * | ज़्यादा | माली |
| CVE-2023-33200 | A-287627703 * | ज़्यादा | माली |
| CVE-2023-34970 | A-287624919 * | ज़्यादा | माली |
MediaTek कॉम्पोनेंट
इन कमज़ोरियों का असर MediaTek के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, सीधे MediaTek से मिल सकती है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर MediaTek करता है.
| CVE | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2023-20819 | A-294779648
M-MOLY01068234 * |
ज़्यादा | CDMA PPP प्रोटोकॉल |
| CVE-2023-32819 | A-294779649
M-ALPS07993705 * |
ज़्यादा | डिसप्ले |
| CVE-2023-32820 | A-294781433
M-ALPS07932637 * |
ज़्यादा | WLAN फ़र्मवेयर |
Unisoc कॉम्पोनेंट
इस कमज़ोरी का असर Unisoc के कॉम्पोनेंट पर पड़ता है. इसके बारे में ज़्यादा जानकारी, सीधे Unisoc से मिल सकती है. इस समस्या की गंभीरता का आकलन, सीधे तौर पर Unisoc करता है.
| CVE | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2023-40638 | A-296491611
U-2212107* |
ज़्यादा | Android |
Qualcomm कॉम्पोनेंट
इन जोखिमों का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी सूचना में दी गई है. इन समस्याओं के बारे में सीधे तौर पर Qualcomm से जानकारी मिलती है.
| CVE | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2023-33029 | A-290061916
QC-CR#3446314 |
ज़्यादा | कर्नेल |
| CVE-2023-33034 | A-290060972
QC-CR#3438425 |
ज़्यादा | ऑडियो |
| CVE-2023-33035 | A-290061247
QC-CR#3438021 |
ज़्यादा | ऑडियो |
Qualcomm के क्लोज़्ड सोर्स कॉम्पोनेंट
ये कमज़ोरियां, Qualcomm के क्लोज़्ड-सोर्स कॉम्पोनेंट पर असर डालती हैं. इनके बारे में ज़्यादा जानकारी, Qualcomm के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी सूचना में दी गई है. इन समस्याओं के बारे में सीधे तौर पर Qualcomm से जानकारी मिलती है.
| CVE | रेफ़रंस | गंभीरता | सबकॉम्पोनेंट |
|---|---|---|---|
| CVE-2023-24855 | A-276750662 * | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2023-28540 | A-276751073 * | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2023-33028 | A-290060590 * | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2023-21673 | A-276750698 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2023-22385 | A-276750699 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2023-24843 | A-276750762 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2023-24844 | A-276750872 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2023-24847 | A-276751090 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2023-24848 | A-276750995* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2023-24849 | A-276751370* | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2023-24850 | A-276751108 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2023-24853 | A-276751372 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2023-33026 | A-290061996 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2023-33027 | A-290061249 * | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
06-10-2023 सुरक्षा पैच लेवल की कमज़ोरी की जानकारी
यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी कमियों के बारे में जानकारी दी गई है जो 2023-10-06 के पैच लेवल पर लागू होती हैं. कमज़ोरियों को उस कॉम्पोनेंट के हिसाब से ग्रुप किया जाता है जिस पर उनका असर पड़ता है. नीचे दी गई टेबल में समस्याओं के बारे में बताया गया है. इनमें CVE आईडी, इससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) शामिल हैं. उपलब्ध होने पर, हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP की बदलाव सूची. जब कई बदलाव किसी एक गड़बड़ी से जुड़े होते हैं, तो गड़बड़ी के आईडी के बाद वाले नंबरों से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
सिस्टम
इस सेक्शन में मौजूद कमज़ोरी की वजह से, उपयोगकर्ता के इंटरैक्शन के बिना ही उसका गलत फ़ायदा उठाया जा सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2023-4863 | A-299477569 | RCE | सबसे अहम | 11, 12, 12L, 13, 14 |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस बुलेटिन को पढ़ने के बाद अक्सर पूछे जाने वाले सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच का लेवल देखने का तरीका जानने के लिए, अपने Android वर्शन की जांच करना और उसे अपडेट करना लेख पढ़ें.
- 2023-10-01 या उसके बाद के सुरक्षा पैच लेवल में, 2023-10-01 के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.
- 05-10-2023 या उसके बाद के सुरक्षा पैच लेवल में, 05-10-2023 के सुरक्षा पैच लेवल और पिछले सभी पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.
- 06-10-2023 या उसके बाद के सुरक्षा पैच लेवल में, 06-10-2023 के सुरक्षा पैच लेवल और पिछले सभी पैच लेवल से जुड़ी सभी समस्याओं को ठीक किया गया है.
डिवाइस बनाने वाली कंपनियों को, इन अपडेट को शामिल करने के लिए पैच स्ट्रिंग लेवल को इस पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2023-10-01]
- [ro.build.version.security_patch]:[2023-10-05]
- [ro.build.version.security_patch]:[2023-10-06]
Android 10 या इसके बाद के वर्शन वाले कुछ डिवाइसों के लिए, Google Play के सिस्टम अपडेट में तारीख की ऐसी स्ट्रिंग होगी जो 2023-10-01 के सुरक्षा पैच लेवल से मेल खाती हो. सुरक्षा अपडेट को इंस्टॉल करने के तरीके के बारे में ज़्यादा जानने के लिए, कृपया यह लेख पढ़ें.
2. इस बुलेटिन में तीन सिक्योरिटी पैच लेवल क्यों दिए गए हैं?
इस बुलेटिन में तीन सिक्योरिटी पैच लेवल दिए गए हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद मिलती-जुलती कमियों के सबसेट को जल्दी ठीक कर सकें. Android पार्टनर को इस बुलेटिन में दी गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने के लिए कहा गया है.
- जिन डिवाइसों में 2023-10-01 का सिक्योरिटी पैच लेवल इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, पिछले सुरक्षा बुलेटिन में बताई गई सभी समस्याओं के समाधान भी शामिल होने चाहिए.
- ऐसे डिवाइसों में 2023-10-05 या इसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है. इसलिए, इन डिवाइसों में इस (और पिछले) सुरक्षा बुलेटिन में बताए गए सभी ज़रूरी पैच शामिल होने चाहिए.
- जिन डिवाइसों में 2023-10-06 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस (और पिछले) सुरक्षा बुलेटिन में बताए गए सभी ज़रूरी पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करें जिन पर वे काम कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
कमज़ोरी की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़ी कमज़ोरी के क्लासिफ़िकेशन का रेफ़रंस देती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| RCE | रिमोट कोड एक्ज़ीक्यूशन |
| EoP | खास सुविधाओं के ऐक्सेस का गलत इस्तेमाल |
| ID | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| उपलब्ध नहीं है | कैटगरी की जानकारी उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
कमज़ोरी की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, ऐसा प्रीफ़िक्स शामिल हो सकता है जिससे उस संगठन की पहचान होती है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android में गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
| U- | UNISOC का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
जिन समस्याओं के बारे में सार्वजनिक तौर पर जानकारी उपलब्ध नहीं है उनके रेफ़रंस आईडी के बगल में * का निशान होता है. इस समस्या से जुड़ा अपडेट, आम तौर पर Pixel डिवाइसों के लिए उपलब्ध नए बाइनरी ड्राइवर में शामिल होता है. ये ड्राइवर, Google की डेवलपर साइट पर उपलब्ध होते हैं.
6. सुरक्षा से जुड़ी समस्याओं को इस बुलेटिन और डिवाइस / पार्टनर के सुरक्षा बुलेटिन, जैसे कि Pixel बुलेटिन के बीच क्यों बांटा गया है?
इस सुरक्षा बुलेटिन में बताई गई सुरक्षा से जुड़ी कमियों के लिए, Android डिवाइसों पर सुरक्षा पैच लेवल की जानकारी देना ज़रूरी है. डिवाइस / पार्टनर के सुरक्षा बुलेटिन में बताई गई सुरक्षा से जुड़ी अन्य कमियों के बारे में जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियां भी, अपने प्रॉडक्ट से जुड़ी सुरक्षा की कमज़ोरियों की जानकारी पब्लिश कर सकती हैं. जैसे, Google, Huawei, LGE, Motorola, Nokia या Samsung.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 2 अक्टूबर, 2023 | बुलेटिन पब्लिश किया गया |